1、网络设备技术参数及要求(二标段)项目概况随着新院建成,信息技术的迅速发展,以便于业务更好的发展。提高医院的医疗质量、工作效率,提高管理水平,更好地服务于病人、服务社会大众,并要不断提高医院的科研、技术水平。现由于医院规模和业务的不断发展,用户数量的增加,已有的医院信息化系统硬件已逐渐不能适应现有应用的需求。为了保证医院医疗活动的正常运行,使更多的人可以获益,以及为了在网络上可以支持更多的新一代的应用系统服务,所以在原有的基础上改建,建设新的信息化网络安全系统设备。一、 项目特殊要求根据政府要求医院尽快搬迁,因此本次招标物品为医院核心设备,关系到医院搬迁工期和工程进度,保证所供货物为正规厂商提供
2、,符合医院参数要求,需参与本项目的供应商以书面的形式对卫辉市人民医院做出如下承诺:提供虚假材料谋取中标者或货物非在中国大陆销售的(非行货),一经查实,供应商不再索要投标保证金以及所供货物。二、 需求一览表序号 名称 数量 单位1 数据库监控审计系统 1 台2 统一安全管理与运维审计系统 1 台3 网管系统 1 套4 上网行为管理 1 台5 统一容灾系统 1 套6 备份一体机 1 台7 防火墙 1 台8 入侵检测 1 台9 终端安全管理一体机 1 台10 安全隔离与信息交换系统 1 台11 服务器 1 台12 KVM 切换器 1 台(注:需求一览表中未列出但为正常运转所必须的部分仍由中标人自行提
3、供)四、技术规格与要求1、数据库监控审计系统设备类型 1U 机架式一体化设备网口类别 4 个千兆以太网接口,至少 2 个管理口,2 个审计口网络吞吐能力 吞吐能力2000MSQL 语句处理能力 SQL 语句交易量10000 条/秒会话并发数 2000 个硬盘 1T 内存 4G电源 单电源性能要求可审计数量 数据库 IP10 个部署 部署模式支持旁路侦听模式,无需安装 Agent;无需改造数据库、中间件等。系统形态 HTTPS 方式访问,无安全漏洞。系统架构系统语言 需支持中文、英文,可在页面上进行切换。覆盖主流商用数据库,包括:Oracle 8/9/10/11 等;Sybase 所有版本;SQ
4、L Server 2000/2005/2008;Informix 所有版本;DB2 所有版本;MYSQL 所有版本;Cache 所有版本;达梦所有版本;人大金仓所有版本;南大通用所有版本。资产添加简单安全,仅需填写数据库系统 IP、端口和版本即可,无需填写数据库账号和密码。支持安全数据来源过滤,可设定安全来源 IP 地址,进行数据安全过滤;可设定严重威胁来源 IP,进行针对性审计。审计范围针对单个 IP 上的数据库实例数量不进行限定。系统架构 数据采集、分析、审计等功能均在同一设备上实现。以会话为单位详细的记录了数据库的操作过程:精确的时间点、来源网络地址、来源端口、客户端主机名、客户端操作系
5、统用户名、数据库类型、目标地址、目标端口、客户端程序、数据库账号以及完整的操作行为详情。实现数据库管理员行为跟踪和分析,用户行为跟踪和分析,机器行为跟踪和分析,数据库登录行为跟踪和分析。会话记录深度解码数据库网络数据流传输协议,完整、细粒度分析并再现用户数据库操作活动会话过程;会话审计内容从访问的发起、连接、到结束进行完整记录。深度解码数据库网络传输协议,完整、细粒度分析并再现用户数据库操作活动过程。完整记录用户数据库会话细节,包括用户数据库登录行为、登出行为、SQL 操作用户名称、SQL 操作源程序名称、SQL 操作源终端名称、SQL 操作源终端登录用户名称、SQL 会话参数设置、SQL 操
6、作语句、SQL 操作返回状态、SQL 操作涉及表组、字段、视图、索引、过程 、函数、SQL DML 操作影响行数、SQL 语句执行时间,原 始 数 据 库 记 录 包 等 。审计结果需支持中文表组、列显示。细粒度解析审计结果需展示伴随 SQL 语句发出的备注语句,以便进行优化。功能要求绑定变量解 能够完整、细粒度地解析绑定变量。可以精确定位到操作客体,真析 正审计到数据发生了什么事情。超级 SQL 语句解析支持20000 字节的 SQL 语句进行完整审计和解析,保证审计日志的完整性和可靠性,无审计盲点。SQLserver TDS 加密协议解析无需提供数据库的账号和密码,即可详细审计出SQLse
7、rver2005/2008/2012/2013 的 TDS 交互的数据,包括但不限定数据库账号、访问程序名、来源主机名、完整操作过程等,实现了对数据库的完整审计,确保数据的完整性,做到有据可查。双向审计 不仅支持对数据请求的命令进行审计,同时应对请求的返回结果进行审计,如操作回应、影响行数、执行时长、错误代码等内容。用户可以通过统一监控界面直接查看最新的策略告警,最新违规操作和最新系统告警事件,当新的事件发生时,该监控页面将实时展现最新信息,并提供监控信息过滤。系统管理可以直观查看系统存储,并提供存储告警界限,并支持存储任务,定期将日志通过 FTP、SFTP 进行统一转储。提供超级管理员、资产
8、管理员和审计管理员权限分离;资产管理员可以添加数据库审计服务器、审计策略制定、审计记录查看等。审计管理员可以查看和审计数据库会话详细信息、统计分析报表、安全操作日志、维护日志。支持用户根据自身环境和要求自定义角色,支持角色按功能模块灵活授权。用户管理支持按用户授权可管理的数据库资产,实现不同数据库管理和审计权限的独立。提供全方位的策略规则匹配,策略因子包括:数据库操作来源 IP 地址、数据库登录用户名称、数据库操作源程序名称、数据库操作源终端名称、数据库操作源终端用户名称、SQL 操作语句(DDL、DML、DCL)、数据库表组(表、条件)、SQL 语句返回行数、SQL 语句执行时间等告警匹配条
9、件。策略告警多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、WEB 声音提示告警、邮件告警、SYSLOG告警等方式通知数据库管理员。提供数据库实时监控功能,可以针对被审计的全部数据库、数据库类型、数据库组别、单个数据库进行实时监控,监控其网络流量、数据包、突发链接、并发连接数、SQL 语句数,并提供动态波形图展示,用户能够直观地了解当前数据库运行状态。提供最近一周内数据库的网络流量、数据包、突发链接、并发连接数、SQL 语句数波形图,并可供下载查看。数据库实时监控数据库实时监控无需在数据库服务器安装引擎,对数据库服务器无任何影响。提供全文检索功能,可以做到对
10、海量的数据记录进行更加快速、方便的查询与定位。支持“精确搜索” ,可对时间、IP、端口、客户端程序、数据库账号、数据库类型、消息长度(SQL 语句长度) 、SQL 语句关键词等详细检索条件。全文搜索检索 SQL 语句支持 SQL 命令、表列名、执行条件,返回命令等进行匹配查询结果和会话进行关联分析,可通过会话查看命令的上下文内容。概要统计提供会话总数、策略告警总数、异常告警总数、资产总数、用户数量、操作日志数量等信息统计,并能够按天进行统计分析,列表展现。可根据数据库地址、数据库名称、访问源 IP 地址、用户名称、源程序名称、源终端名称等排序、统计和报表,可生成月报、周报和日报,可对特定数据库
11、、用户名称等进行报表统计。内置报表需包含且不限于等级保护合规、数据库访问详情、数据库访问统计等类型,每种类型不少于 5 种。提供自定义报表向导,制定符合实际要求的各类型报表。报表可从会话日志、策略告警日志、异常告警日志、系统事件日志进行报表来源统计。查询和报表统计报表统计报表以 3D 饼状图、柱状图、表格形式输出,统计结果支持HTML、PDF、EXCEL 等格式导出。产品扩充性 供货厂商需具备更为先进有效的数据库安全产品,以便后续升级换代,可即时阻断非法连接和危险操作。2、统一安全管理与运维审计系统项目 基本要求设备类型 1U 机架式一体化设备,内置应用发布中心可管理设备数 300 个网络接口
12、 4 个千兆自适应电口硬盘容量 内置存储1TB电源要求 单电源支持双机热备,支持系统配置以及审计日志实时同步。高可靠性要求支持集群部署,系统策略支持统一下发,后期升级扩容方式支持单节点扩容,无需进行软硬件的二次升级即可完成。支持第三方负载均衡,并支持集群自带的负载均衡模块。项目 基本参数支持协议类型图形终端协议:RDP、VNC、X11字符终端协议:Telnet、SSH文件传输协议:FTP、SFTP数据库类型:Oracle:PLSQL、TOAD、SQLPLUS、SQLDEVELOPER;Informix:DBACCESS;Mysql:MYSQLFRONT、HIDESQL;SQL Server:S
13、QLserver(2000-2012);Sybase:SCVIEW4;DB2:DB2CMD、DB2QUESTWEB 应用:HTTP、HTTPSKVM 类:DSR、DSVIEW、RARITAN、RARITAN_CC 等其它应用:AS400、REALVNC、PGADMIN、PCANYWHERE、RADMIN、DameWare、CiscoASDM、VMware vSphere Client上述所有协议类型均可实现单点登录,图形化应用无需安装任何客户端和控件即可实现单点登录,即通过堡垒机实现图形化应用发布功能单点登录支持 IE 代填类型包括 JS、flash、HTML5 等特殊登录页面。无缝应用发布功
14、能要求以上所有图形化应用在实际操作环境中均可以正常使用且可自由调整应用的窗口大小,做到无缝发布,拖拽窗口应自然流畅,无卡顿现象,像是在本地运行应用程序一样。IP 自动禁止功能系统支持 IP 自动禁止功能,对连续登陆账号密码错误的来源 IP 自动屏蔽,可通过管理员解除屏蔽。帐号自动禁止和锁定功能支持账号自动锁定功能,用户 1 分钟内连续输入账号密码错误,自动锁定该账号自身健康检测支持对应用中心状态、审计状态和端口状态是否正常工作进行一键检查。系统自身安全性console 口管理保证在特殊情况下通过 console 口连接。保证紧急情况能够用过console 管理员密码或网络 IP 地址。运维方式
15、 支持 C/S 与 B/S 运维方式工具属性支持支持字符类 putty、SecureCRT 等工具的各类属性:终端属性、字符编码、窗口大小随意调整等等;图形类 mstsc 工具的原有属性:自定义开启/关闭磁盘映射、剪切板等,支持窗口大小随意调整、声音传输等等授权审核可以指定系统用户查看该用户可管理的资产信息;可以指定资源名/资产 IP/账号名查看资产属于哪些系统用户管理。授权关系导出(可以导出用户和设备授权关系进行查看,导出展现形式 excel)授权审批运维人员可以在系统 Web 界面填写授权审批流程单,填写内容至少应包括:设备资源、系统账号、协议类型、时间窗口;审批通过后,运维人员可立即取得
16、相应访问权限运维管理向导模式 为管理员和运维人员提供操作向导模式,方便用户进行设备管理和使用。中英文管理界面 支持中英文切换 WEB 管理可以制定计划任务,至字符类资产执行事先编辑好的脚本。脚本超时执行时间为每个计划在单台机器上的超时时间。执行超过超时间后会断开连接自动化运维可以通过手动登录某台资产,登录后会触发机器自行执行预先设置好的脚本。可关联相应堡垒机运维帐号及资产帐号。用户角色 系统角色需按法案要求进行划分,至少有系统管理员、密码管理员、配置管理员、审计管理员、普通用户等多种角色。系统提供身份认证,自然人(员工帐户)登录系统时支持静态口令、Radius 认证、LDAP、AD 域、数字证
17、书认证、动态令牌认证、USBKEY认证、指纹认证和 Google 手机动态令牌认证。支持指纹认证:至少支持三个厂商的指纹认证。系统内置 PKI 证书认证功能,用户只需配置 USB-KEY 即可实现证书登陆认证,实现双因素认证(USB-KEY+PIN 码)。系统内置动态令牌认证,用户不需要额外部署认证服务器,通过配置动态令牌实现双因素认证;同时可支持 Google 手机动态令牌认证。身份认证支持多因子认证自定义组合,可为不同用户组分配不同的认证策略,支持单因素,双因素和多因素的认证策略支持以 excel 格式批量导入和导出用户帐号用户帐号自动改密,可制定改密计划对用户帐号进行定期改密,并发送邮件
18、通知用户。在线批量编辑,提供堡垒机用户的批量编辑功能,以方便用户管理员批量修改帐号属性及关联信息,包括会同权限、用户状态、有效时间。用户帐号管理批量管理支持从 AD 服务器批量导入用户帐号。支持批量导入导出运维用户、目标设备、账号密码等,支持目标设备账号批量新增。批量管理 支持在线批量设备帐号修改;支持设备帐号属性添加和修改,包括帐号密码、应用参数、帐号状态、会同信息、改密脚本、特权帐号、应用端口、应用密码提示、帐号类型、帐号提示符、帐号同步。SSH 公钥登录 通过 ssh-keygen 产生公钥和私钥密码对,上传堡垒机,可实现免密码登录服务器。密函打印 支持将目标设备资产的账号密码进行密函打
19、印导出。支持 linux、unix、网络设备、windows2000/2003/2008 的自动改密功能;无需通过插件、引擎或特殊端口对目标设备进行自动改密。设备及账号密码管理设备账号自动改密 在系统完成密码修改之后,自动进行新密码登录测试,以便进一步校验密码修改结果。分权管理支持系统管理员按部门进行分权管理,各部门系统管理员只能管理和授权本部门管辖内的设备资源;支持审计管理员分权管理,只能审计被授权的设备。系统提供访问控制功能,支持对系统的用户登录进行可配置的策略设置,根据策略因子:用户或用户组、日期、每月、每周、时间、源地址、目标地址、目标端口、目标账号、动作(接受、拒绝)来定制访问策略对
20、用户或用户组行为进行控制。访问控制功能提供禁审功能,可对部分设定的控制策略的会话不审计录像,防止机密信息二次泄露。命令控制功能系统可以对字符操作的命令进行控制,通过制定命令黑白名单实现对命令的有效管理,可以对命令集合进行告警或者自动阻断,支持正则表达式匹配。SFTP 和 FTP目录锁定默认规定用户登录后,只能在其目录下进行操作,不能随意跳转至其他目录进行操作,也可通过开关打开限制。系统应具备会同功能。如运维人员需要访问目标设备,首先需要向管理员申请连接会话,得到管理员同意后,运维人员才能对目标设备进行运维操作。权限管理会同功能会话会同支持会同生效时间,且支持以 web 弹窗的方式通知会同授权人
21、。会同人收到会同请求时,刷新页面或登录时会在页面弹窗提示。支持命令记录:字符终端命令记录、图形终端键盘操作记录、数据库运维 SQL 命令、图形标题栏识别(OCR)字符终端命令记录:用户可以从任意命令开始查看本命令输出结果或播放;命令分析功能将输入命令和输出结果的智能分离,可以只查看字符命令,也可以显示该命令的返回结果图形终端键盘操作记录:支持图形终端键盘操作记录,完整记录键盘动作。数据库运维 SQL 命令:系统应具备审计到详细的 SQL 语句,而非键盘符指令,并要求记录到 SQL 语句的执行时间。命令记录图形标题栏识别(OCR):系统应具备对图形运维中的标题名进行智能提取,并可以从任意一个标题
22、名开始回放。可支持中英文操作系统的标题栏体系。WEB 在线回放完整会话;字符终端操作会话支持倍速播放;图形操作会话支持拖拉定位播放;支持暂停、停止、重新播放等播放控制操作。录像记录审计录像采用数据流回放技术,空闲操作(无屏幕变化)日志无增长,节省了日志空间。传输文件备份系统应具备审计到 FTP/SFTP 传输的原始文件,并可以在审计系统上进行备份并下载查看其具体内容。对大于一定大小的 FTP/SFTP 运维审计中的文件可进行异地转储,并可记录文件 md5 值,保障文件的完整性和有效性。支持人工开关自由选择是否备份原文件。提供搜索功能,可组合目标主机地址、登录地址、堡垒机用户、远程账号、时间、键盘输入的命令、标题栏等条件进行搜索,快速定位会话记录;搜索条件“用户命令”支持“或”和“与”逻辑关系。日志审计日志搜索字符运维命令返回值搜索和屏幕导出,支持搜索命令的返回值信息,并支持将屏幕信息导出为文本。图形操作告警支持 RDP 会话针对操作行为告警(针对标题栏进行告警) ,可进行告警内容设置。告警模块数据库操作告警支持数据库应用针对操作命令进行告警,可进行告警内容设置(告警内容支持动作,表名等) 。
